AVIS D’EXPERT
Par Pascal Le Digol, Country Manager, WatchGuard Technologies
Outils de programmation utilisant l’IA, authentification multifacteur mise à l’épreuve du social engineering et piratage informatique dans le métaverse sont des points de vigilance stratégiques pour les responsables sécurité. Pascal Le Digol, country manager France WatchGuard Technologies, nous explique comment nous explique comment l’identité, l’authentification multifacteur et l’intelligence artificielle rester malgré tous les principaux vecteur d’attaque.
Que l’on aime cette idée ou qu’on la déteste, le métaverse a fait les gros titres ces derniers temps. De grandes entreprises comme Meta (Facebook) et ByteDance, la société mère de TikTok, investissent des milliards dans la création de mondes virtuels/mixtes/augmentés connectés qui, selon elles, feront partie intégrante de la société dans un avenir pas si lointain. Mais le métaverse en réalité virtuelle (RV) offre un nouveau potentiel en matière d’attaques et de social engineering. Si des vecteurs de menaces potentiels ne verront peut-être pas le jour avant cinq ou dix ans, cela ne signifie pas que le métaverse n’est pas déjà pris pour cible aujourd’hui. La première attaque du métaverse avec des répercussions sur des entreprises émanera d’un vecteur de menace bien connu, réimaginé pour la RV de demain. Vers la fin de l’année 2022, Meta a lancé le Meta Quest Pro, un casque de RV/RM « d’entreprise » destiné à booster la productivité et la créativité. Entre autres choses, le Meta Quest Pro permet de créer une connexion à distance avec un bureau d’ordinateur traditionnel, de manière à voir l’écran de son ordinateur dans un environnement virtuel, et de créer plusieurs moniteurs et espaces de travail virtuels pour son ordinateur. Il permet même à un employé à distance de lancer des réunions virtuelles (par opposition à des visioconférences), qui sont censées favoriser des interactions beaucoup plus naturelles. Aussi sophistiquées que toutes ces fonctions puissent paraître, ce casque utilise essentiellement les mêmes technologies de bureau à distance que le bureau à distance de Microsoft ou Virtual Network Computing (VNC), à savoir le même type de technologies de bureau à distance ciblées et exploitées par les cybercriminels à d’innombrables reprises par le passé. C’est pourquoi, en 2023, le premier grand piratage du métaverse qui touchera une entreprise résultera d’une vulnérabilité dans les nouvelles fonctions de productivité d’entreprise, comme le bureau à distance, utilisées dans la dernière génération de casques de RV/RM destinés à un usage professionnel.
L’authentification multifacteur mise à l’épreuve du social engineering
Les cybercriminels vont cibler de manière agressive les utilisateurs de l’authentification multifacteur (MFA) en 2023, car l’adoption élargie de la MFA les oblige à trouver un moyen de contourner ces solutions de validation de la sécurité. L’adoption de l’authentification multifacteur a progressé de six points pour atteindre 40 % en 2022, selon une enquête Thales menée par 451 Research. Cette tendance va pousser les cybercriminels à recourir davantage aux techniques malveillantes de contournement de l’authentification multifacteur dans leurs attaques ciblant les informations d’identification. Plusieurs nouvelles vulnérabilités et techniques de contournement MFA vont faire leur apparition en 2023. La façon la plus courante dont les cybercriminels contourneront ces solutions sera toutefois le recours aux techniques persuasives de social engineering. Le succès du push bombing (bombardement de notifications), par exemple, n’est pas une défaillance de l’authentification multifacteur en soi ; il est dû à une erreur humaine. Les cybercriminels n’ont pas besoin de pirater le système MFA s’ils peuvent tromper les utilisateurs ou simplement épuiser leur patience sous un déluge de demandes d’approbation jusqu’à ce qu’ils finissent par cliquer sur un lien malveillant. Les cybercriminels peuvent également mettre à jour leurs techniques AitM (Adversary-in-the-Middle) pour inclure le processus MFA, capturant ainsi les tokens de session d’authentification lorsque les utilisateurs se connectent légitimement. Dans un cas comme dans l’autre, il faut s’attendre à de nombreuses autres attaques de social engineering ciblant la MFA en 2023.
Attention aux outils de programmation utilisant l’IA
Bien que l’apprentissage automatique (Machine Learning) et l’Intelligence Artificielle (IA) ne soient pas devenus aussi puissants que certains le prétendent, ils ont évolué de manière significative pour offrir de nombreuses capacités pratiques novatrices. En plus de générer de nouvelles œuvres d’art à partir d’instructions écrites, les outils basés sur l’IA/le ML peuvent désormais écrire du code pour les développeurs paresseux (ou ingénieux dans leur recherche d’efficacité). Dans les deux cas, l’IA s’inspire d’œuvres d’art ou de codes informatiques existants pour générer es nouvelles créations. Copilot de GitHub est l’un de ces outils de programmation automatisée. GitHub entraîne Copilot en utilisant le « Big Data » constitué par les milliards de lignes de code présentes dans ses dépôts. Toutefois, comme pour tout algorithme d’IA/de ML, la qualité du résultat dépend directement de la qualité des données qui lui sont fournies et des instructions qui lui sont données. En d’autres termes, inutile d’espérer des miracles d’une IA nourrie de code de mauvaise qualité ou non sécurisé. Des études ont déjà montré que jusqu’à 40 % du code généré par Copilot comporte des failles de sécurité exploitables, et ce pourcentage augmente lorsque le propre code du développeur contient des vulnérabilités. Ce problème est suffisamment important pour que GitHub émette cette mise en garde : « Vous êtes responsable de la sécurité et de la qualité de votre code [lorsque vous utilisez Copilot]. » Un développeur ignorant ou inexpérimenté qui s’appuie excessivement sur Copilot ou un outil de programmation par IA similaire publiera une application comportant une vulnérabilité critique introduite par le code automatisé.
Pascal Le Digol